網絡安全管理精品(七篇)

序論：寫作是一種深度的自我表達。它要求我們深入探索自己的思想和情感，挖掘那些隱藏在內心深處的真相，好投稿為您帶來了七篇網絡安全管理范文，愿它們成為您寫作過程中的靈感催化劑，助力您的創作。

篇(1)

網絡系統的一個重要功能就是為用戶提供即時、高效的網絡信息傳送以及程序下載等服務。在下載或者傳送過程中，很容易攜帶一些可執行文件，當這些可執行文件帶有網絡病毒并被用戶打開時，便會對網絡系統造成一定的不良影響，從而引發某些網絡安全問題。1.5防火墻具有一定的局限性防火墻是被廣泛應用的網絡安全防護工具。其由軟硬件設備組成，通過在內部網和外部網或者公共網和專用網之間構建信息防護層，對內部網以及專用網中的信息進行保護。但是，在實際的執行過程中，其存在的某些局限性已經影響到網絡安全管理工作。

2網絡安全管理的有效措施

2.1加強網絡安全教育

加強網絡安全教育，需要從如下幾個方面著手：（1）宏觀層面上，國家要不斷的通過輿論引導、宣傳教育以及相關的標準制定，強化對網絡安全的要求，并且引導社會認識網絡安全的重要性；（2）中觀層面上，機關、團體、企事業單位要組織相關崗位的干部或者員工深入的開展網絡安全教育，從思想觀念、知識結構等方面加大網絡安全教育力度，在具體的教育過程中，要注意搞好疏堵結合，增強抵御能力。（3）微觀層面上，個人要認識到網絡安全的重要性，有目的的，有計劃的開展網絡安全學習，真正的從思想觀念的高度認識到網絡安全問題的嚴峻性。

2.2加大網絡安全管理力度

在現今的網絡信息化時代，對網絡系統進行嚴格的安全管理，對于維護網絡信息安全，促進網絡系統的可持續發展具有重要的現實意義。在實際的網絡安全管理過程中，管理者要將管理工作與自身的實際情況進行緊密聯系，從實際管理要求出發，對系統中存在的網絡安全問題進行科學研究，并探索相應的管理手段，進而有效地提高網絡安全管理質量。對于企業，有關的技術管理部門應該對某些保密級別高的臺式電腦實行嚴格的網絡安全管理，配置必要的干擾機以及屏蔽儀等安全防護設備，并推行安全口令，口令要定期或不定期地進行更換。如果有必要還可以對某些臺式機的網絡接口實施關閉管理。不僅如此，有關的管理部門還應該經常對網絡安全進行臨時檢測，如果發現存在人為的安全問題，要對操作者進行適當的懲處，以引起操作人員對網絡安全管理的重視，并在以后的工作中認真執行相應的安全管理。

2.3健全網絡安全制度

建立起嚴格的網絡使用制度，對于需要使用網絡的要經過一定的審批程序，固定Mac和IP地址。其次，要建立信息技術安全制度，從硬件的物理鏈接上保障信息傳輸安全。當前網絡安全態勢評估關鍵性的內容就是建立在系統配置信息基礎之上的網絡安全態勢評估。以COPS所提供的數據為基礎，Ortalo以及Deswarte利用權限圖理論構建起系統漏洞模型，利用馬爾科夫模型，得出黑客為擊潰網絡安全需要付出代價的平均值，從而對網絡系統安全作出定量性分析，總結出系統安全演化。但當前建立在系統安全態勢的評估，主要是對某個具體攻擊事件帶給網絡系統的威脅加以評估。在現有的研究成果的基礎之上，依據IDS日志庫取樣數據以及網絡寬帶占用率、系統曾經所遭受的攻擊的相關記錄，并綜合考察服務以及主機本身的重要性，構建網絡安全威脅態勢層次化定量評估模型，從服務、主機以及網絡3個層次評估網絡安全威脅態勢。本文來自于《科技創新與應用》雜志?？萍紕撔屡c應用雜志簡介詳見

3結束語

篇(2)

關鍵詞 計算機網；網絡安全管理；網絡安全

中圖分類號TP393 文獻標識碼A 文章編號 1674-6708（2012）78-0202-02

隨機信息技術的發展以及互聯網的廣泛應用，計算機網網絡已經成為人們生活中不可或缺的一部分了，而伴隨著網絡的發展，計算機網網絡安全管理一些不足也逐漸暴露出來，引起了專家、學者以及社會各界的共同關注，成為計算機網網絡新時代關注的熱點話題。只有維護好我國計算機網網絡安全管理，執行相應的安全管理措施，才能顯著的提高網絡的性能，保證網絡的健康、飛速發展。因此，加大對計算機網網絡安全管理的討論以及研究，具有十分重要的理論以及現實意義。

1 計算機網網絡安全管理的內涵

廣義的計算機網網絡安全管理是指保證計算機所有信息完整、真實、可靠、可用以及可控性，使得信息能夠得到安全的利用。狹義的計算機網網絡安全管理，是采取各種措施，確保網絡、信息、系統資源以及計算機安全，避免人力以及各種外力侵害導致正常運行受阻情況的發生，其主要內容包括加密、路由器安全、協議安全、用戶的身份認證、訪問控制、服務器以及服務器安全機制等，基本特征為網絡信息的可控性以及信息的保密以及完整性。

2 計算機網網絡安全管理的現狀

盡管部分計算機網網絡安全管理問題已經得到了重視，但是由于計算機網絡瞬息萬變以及各種因素的影響，目前計算機網網絡安全管理中仍然存在許多問題。

第一，計算機網網絡安全管理制度問題。由于網絡安全管理技術知識要求很高，我國目前并沒有充分重視制度以及法規的制定，或者法規比較落后，已經與當代情況不相適應，或者即使有新的制度但是只局限于比較形式化的規定，沒有詳細的實施細則，因此很多時候在實踐中沒有相應的法律法規作為支持，沒有做到有法可依。

第二，計算機網網絡安全管理技術問題。目前計算機網絡安全管理存在一些技術上的盲點以及漏洞，使得很多不法分子有威脅網絡安全的切入點，主要包括病毒的入侵、木馬程序的潛伏、不正當手段介入網絡、高頻率信息的干擾等。

第三，外力侵害。我國很多的網吧、機房不具備抵御外界侵害的能力，主要外界侵害包括自然的災禍以及周圍環境侵害等，自然的災禍指的是自然的災禍，如雷電、洪澇災害、火災、電磁泄露等；周圍環境侵害包括斷電引起數據、設備損害問題和噪音問題導致的數據高誤碼率等。

第四，用戶意識不高。很多用戶在進行計算機網絡使用的時候，沒有足夠的網絡安全意識，對于密碼、權限、口令等私密的東西沒有保護好，隨意泄露，或者沒有及時修補一些網絡漏洞和補丁，黑客可以找到攻擊點。

除此以外，還存在網絡安全技術人員素質不足、監管不到位等問題

3 改進計算機網網絡安全管理對策

針對目前存在的計算機網網絡安全管理問題，提出了以下對策。

第一，為了改進計算機網網絡安全管理，要加強用戶網絡安全管理意識。對于密碼、權限、口令等比較隱私的東西，用戶要保護好，不要隨意泄露，對于網絡漏洞和補丁，要做到及時修補，不要給有心人有機可乘的機會，進行數據備份，防止突發意外事故發生之后，數據的丟失，保持數據完整性，做到能夠及時恢復系統，減少延誤損失；

第二，為了改進計算機網網絡安全管理，要加強自然等各種外力侵害的防范。在網吧以及機房等公共場所，首先要安裝空調，控制室內溫度以及濕度，防止溫度以及濕度過高，造成網絡癱瘓。其次要裝好相應的防止雷擊的措施，多進行建筑檢測，尤其注重電源、網絡傳輸線等的防范措施，最后是防火措施要做好。各種裝修材料有可能的話，盡量選擇防火的，保持室內通風，放置好防火器等設施；

第三，為了改進計算機網網絡安全管理，要加強計算機網網絡安全管理技術問題的研究，管理人員要及時更新病毒數據庫，強化對病毒的檢測以及清除，加強防火墻的建設，發揮防火墻的作用，做到限制服務訪問、防止無權限的外部網的入侵、統計相應的網絡流量并進行適時限流等，進行網絡入侵檢測，一旦發生這些情況要及時的制止。要加強檢測、掃描以及評估漏洞，減小安全隱患；

第四，為了改進計算機網網絡安全管理，要加強對網絡安全管理制度的建立和完善。要完善已有的計算機網網絡安全管理制度，對一些過于形式化的網絡安全管理制度，要縮小范圍，提出其操作的細則，對其中有不適應現展的規則進行修正以及改善，使其更能與當代網絡發展相適應，對于沒有及時建立的法律以及法規，要及時建立，并在實踐中不斷改進以及發展；

第五，為了改進計算機網網絡安全管理，要實施安全加密。主要有非對稱以及對稱密鑰加密的方法，主要原理是應用一些算法，將轉出的信息轉換成代碼和密文，當密文傳到接收者手中，又通過相應的配對解密技術，解開代碼以及密文的內容以及信息，確保信息只為特定用戶接收，防止不必要的泄露；

第六，為了改進計算機網網絡安全管理，要提高網絡安全技術人員素質。由于計算機網絡以及計算機信息技術具有變化速度快、形式多樣、種類繁多等特定，而要改進計算機網網絡安全管理，人在其中的作用是不言而喻的，只有充分發揮了人的作用，才能更好的保障計算機網網絡安全管理，因此要多對網絡安全技術人員進行網絡安全先進理論以及知識的教育和培訓，增強網絡安全技術人員對知識的了解以及掌握，提高他們應對網絡安全變化的能力。

第七，為了改進計算機網網絡安全管理，相關部門要加大監督力度。要加大對計算機網絡安全的監督和管理，發現不法事件，要嚴厲懲罰，樹立負面典型，警惕相關人員，防止類似事件再發生。

由于現代計算機網網絡安全是保證計算機網絡正常運行的關鍵環節，因此，各方要加強對此重視，更好的維護網絡秩序以及網絡安全。

參考文獻

篇(3)

【關鍵詞】網絡安全；管理措施；安全管理

【中圖分類號】TN915.08 【文獻標識碼】A 【文章編號】1672-5158（2012）09-0022-01

伴隨著網絡信息化發展而來的網絡安全問題已經成為困擾網絡管理人員的一個重要問題。據有關部門統計，盡管國內的基礎性網絡防護工作水平呈現出顯著的上升趨勢，但是，由于初期水平較低，所以，目前的網絡安全管理工作仍存在眾多問題需要解決。例如：國內的互聯網核心技術研發與更新速度緩慢；網絡安全管理意識薄弱；相應的法規建設遲緩等等。這些導致了網絡信息安全不良事件頻頻發生。其中，去年CNCERT發現的惡意程序幾乎是前年的兩倍之多。因此，網絡安全管理工作改革已經勢在必行。本文針對當前網絡安全管理方面存在的一些問題進行分析，并提出相應的應對措施。

一、網絡安全管理問題

（一）網絡安全意識淡薄

網絡安全管理的主要任務就是確保網絡的信息安全。而網絡信息安全的影響因素主要是來自于主觀因素以及客觀因素?？陀^因素包括網絡的軟硬件等方面，主觀因素則是來自于管理人員的主觀認識方面。在很多企業中，管理人員對硬件設備以及安全技術過分依賴，自主忽視主觀方面的安全防范意識。從而導致管理隊伍管理松散，工作人員以及用戶的防范意識薄弱，進而引發一些本可避免的網絡安全問題。據表明，在眾多的安全事件中，超過三分之二的事件是因為管理工作不力導致的。其中絕大多數都是可以通過信息合理配置管理進行阻止的。

（二）信息安全管理建設體系構建速度較網絡技術發展遲緩

安全技術和安全管理是網絡安全建設必不可少的兩個重要元素。其中，安全技術是安全系統的支撐，而安全管理則是手段。隨著網絡信息技術的不斷深入研究與發展，網絡信息安全管理工作水平有了明顯提升，但是，卻沒有太多質的改變。

（三）網絡安全技術接口安全性較低

高質量的計算機網絡安全技術接口（圖1）能夠對網絡數據進行有效的控制，當前現有使用的技術接口普遍安全性薄弱，并缺乏快捷的寬帶加以輔助，而且，對于電話以及實時圖像功能也不能給予有力支持，這些方面需要進一步的研究與加強。

二、網絡安全管理建議

（一）加強網絡安全管理重要性的認識程度

要想真正的提高我國的網絡信息安全水平，就必須在促進網絡安全技術發展的同時，提高對網絡信息安全管理工作的重視程度，優化管理，提高質量。從大量的安全事故可以看出，盡管市面上的安全產品層出不窮，但是，人們的網絡安全擔憂卻越來越明顯。其中的主要因素包括網絡的規模劇增、日趨復雜等，在這種網絡環境中，單憑網絡安全技術是無法高效實現網絡安全的。只有實現網絡技術和網絡安全管理兼顧，提升管理人員以及用戶的安全意識，加強相應的法規制度建設、規范網絡市場運營模式，才能夠從根本上保證網絡安全。

（二）促進網絡安全管理法規的完善

網絡安全管理工作要想切實完成，就必須有完善的法律法規作為執行的基本依據，否則，將會在執行的過程中，引起不必要的糾紛或者產生眾多“漏網之魚”。在長期的不懈努力下，我國在法律法規的建設方面已經取得了很多成果，并建立的獨立的法制信息安全管理機構，并了一系列的有關安全技術標準。但和網絡技術的發展速度相比，仍呈現出一定的滯后性，這為相關部門在對網絡犯罪行為進行打擊的過程中，常因為缺乏對應的法律條例而陷入“尷尬境地”，更是使犯罪分子逍遙法外。因此，要促進我國網絡信息安全法規的完善工作。確保在安全管理過程中，有法可依，有理可循，不讓網絡犯罪分子逍遙法外。

（三）網絡安全技術的實施與改進

在網絡病毒防范上面，對于局域網可以安設給予服務器操作系統平臺的防病毒軟件；對于互聯網則需要網管的防毒軟件；并且，在諸如電子郵件的交換過程中，也要進行病毒防范；

注重對系統漏洞的查詢工作，用戶應該主動安裝各類行之有效的掃描、處理漏洞的軟件，并及時更新。系統的工作人員甚至可以利用黑客工作，進行模擬攻擊以便于查找漏洞，及時處理；防火墻的使用，能夠有效的控制數據進入內網，阻止黑客的意外訪問，有效的降低黑客的犯罪幾率；采用入侵檢測技術，對系統中未經授權或者異?，F象及時監測，能夠有效的避免違反安全策略行為，并且，其還能限制不希望的活動發生，確保系統安全；充分利用網絡監聽維護子網系統安全。對于網絡外部的入侵可以通過安裝防火墻來解決，但是對于網絡內部的侵襲則無能為力。在這種情況下，我們可以采用對各個子網做一個具有一定功能的審計文件，為管理人員分析自己的網絡運作狀態提供依據。設計一個子網專用的監聽程序。該軟件的主要功能為長期監聽子網絡內計算機間相互聯系的情況，為系統中各個服務器的審計文件提供備份。

另外，有關的技術人員也要在高質量的網絡安全技術接口的研制上多下功夫，促使電話以及實時圖像功能早日能夠高質量實現。

篇(4)

信息化技術的發展，為經濟繁榮作出了貢獻。同時由于開放的信息平臺使得計算機網絡的不安全性和脆弱性特征顯現。故而，現階段強化計算機網絡安全管理措施顯得緊迫。重點要開發計算機網絡安全管理平臺，在技術措施上做到防范，同時應在管理上做出相應的對策，建立完整且行之有效的管理制度，以便在技術和管理兩方面保證網絡信息的安全。

關鍵詞：

計算機網絡；安全管理；網絡安全管理平臺

1計算機網絡安全管理的重要性

隨著計算機技術的發展，網絡技術得到了廣泛應用，它在社會中扮演著舉足輕重的角色。這也使得人民的生活有了諸多的便利，同時由于開放的信息平臺使得計算機網絡的不安全性和脆弱性特征顯現。故而，現階段強化計算機網絡安全管理措施顯得緊迫。網絡技術的普及,使人們對網絡的依賴程度加大。同時網絡破壞造成的損失比以往任何時候都大。這就需要對網絡技術的安全性提出更高的要求,也使得網絡安全的地位越來越重要。然而安全管理一直是網絡系統的薄弱環節之一,而用戶對網絡安全的要求往往又相當高,因此安全管理就顯得非常重要。網絡管理者必須充分意識到潛在的安全性威脅,并采取一定的防范措施,盡可能減少這些威脅帶來的惡果,將安全危害降到最低程度。

2開發計算機網絡安全管理系統

國外對計算機網絡安全管理系統的研發起步較早，取得了一些成果。但國內的網絡管理水平還比較低，目前也沒有開發出通用的網管平臺。由于網絡管理系統對一個網絡系統的高效運行非常重要，因此在我國大力研發與應用推廣網絡管理系統非常迫切。為此，在應用方面要采取引進與自主開發相結合的方式。一方面，國內對網絡管理的研究與應用剛剛開始，與國外先進水平有一定的差距，完全自己開發是不太現實的；另一方面，僅僅依靠國外的產品也并不是上策，因國外的網絡管理產品并不一定很適合我國的網絡應用環境，而且這對我國的網絡技術發展與管理也不利。在研究方面，應盡可能跟蹤國外的先進技術并進行創新研究。因此，我們應積極開展同國外的合作，吸收和利用國外的先進技術，以提高網絡在我國的應用效率和作用。

3優化計算機網絡安全管理措施

（1）建立健全科學合理的管理體系。

計算機網絡安全系統其自身是脆弱并且存在漏洞的，但是要避免其數據資料的外泄，也并不是無計可施。如建立安全管理系統與機構，就可以有效防止由于系統漏洞所帶來的不良后果，使黑客沒有下手的可能。

（2）及時安裝并更新優良的安全管理軟件。

安裝必要的殺毒軟件，可以保證在遇到黑客攻擊或者是有不良病毒入侵的時候，及時的隔離或者提醒用戶，防止不法分子惡意對重要信息的竊取和訪問，或者因此而帶來的電腦癱瘓等惡劣現象。

（3）養成網絡系統的備份和恢復的良好習慣。

網絡系統備份是指對于重要的資料和核心數據進行備份，以保證當計算機遭遇了黑客攻擊，還可以通過系統快速恢復相關資料。這是使用計算機應該養成的一個良好的習慣。

（4）制定網絡管理制度并嚴格執行監管法律。

“無規矩不成方圓”，在復雜的計算機網絡領域中，如果沒有健全的管理制度和法律條文的規范，計算機網絡技術是無法平穩續發展。因此，除技術上做到防范外，同時應在管理上做出相應的對策，建立完整且行之有效的管理制度，以便在技術和管理兩方面保證網絡信息的安全。

（5）提高網絡使用者的職業道德教育。

不管是建立安全管理機構還是安裝安全軟件或者資料備份，這些并不是解決網絡安全的根本方法。而只有加強計算機從業者的道德教育與職業培訓，增強安全意識，才能保障網絡安全。

作者：董軒辰 單位：齊齊哈爾工程學院

參考文獻

［1］趙國福.淺議計算機網絡安全［J］.中國新技術新產品，2009，4（7）.

［2］吳詩豪.計算機網絡安全性研究［J］.管理觀察，2009，5（10）.

［3］李曉明.淺談計算機網絡安全與防范方法［J］.科技資訊，2008，10（30）.

［4］王建軍，李世英.計算機網絡安全問題的分析與探討［J］.赤峰學院學報（自然科學版），2009，（1）.

篇(5)

1公安機關網絡安全管理挑戰

1.1計算機網絡系統安全性與可靠性問題

公安機關信息系統，與其安全性相關的主要體現在網絡通訊設備以及存儲等方面。近年來，公安機關在網絡系統建設中，所選取的通信信道多以ISDN、DDN、幀中繼、郵電專線等為主，并未引入微波信道模式或自建光線，這種信道模式雖然有較低的建設成本，卻有外界因素干擾嚴重、通信質量差以及通信不穩定問題，這些是導致計算機網絡安全隱患問題產生的主要原因。另外，公安機關網絡系統中，所采用的設備有交換機或路由器等，雖設有安全防護功能，但對于非法入侵問題很難控制，致使公安機關網絡安全管理面臨隱患問題。

1.2網絡系統軟件問題

由網絡系統軟件安全看，應用軟件安全、數據庫安全以及操作系統安全等多方面的安全問題較為突出。以操作系統為例，是各程序與軟件運行的載體，操作系統不同，對服務與軟件應用有一定差異。對于公安機關，目前常用的系統以Linux操作系統、Windows操作系統為主，對于其中的Windows操作系統，優勢在于便捷性較好，但系統運行中的問題較為突出，表現為開發程度高但僅有較低的安全系數，在訪問控制以及用戶認證方面無較強的功能。再如數據庫部分，其作為公安機關存檔各類信息數據的載體，數據庫的安全性直接影響信息存儲。目前公安機關在數據庫信息管理中，所采用的信息加密處理方法有限，更無從談及在CA身份認證系統建設上加強。這些問題的存在，均可能導致系統運行中被木馬病毒感染，對系統整體運行以及信息安全帶來極大威脅。

1.3網絡病毒木馬威脅

信息技術快速發展下，隨之而產生的木馬病毒逐漸增多，其對網絡安全所帶來的影響更加明顯。以蠕蟲病毒為例，其蠕蟲病毒變種“熊貓燒香”，對全球數十萬臺電腦帶來嚴重影響，損失亦達到數十億之多。而國內公安機關部分計算機也因此受到影響，不僅破壞電腦硬件，同時使部分數據信息丟失，對公安機關正常工作帶來較大影響。雖然公安機關不斷引入較多殺毒軟件減少病毒木馬的入侵，但該類軟件多以被動防御為主，不具備主動防御能力，當大規模木馬病毒入侵后，才升級殺毒軟件，這種方式很難保證網絡安全。

2公安機關網絡安全管理策略

2.1網絡系統安全性強化

針對公安機關網絡信息系統安全問題，首先應考慮在通信方面改進，如微波信道、自建光纖的應用，需逐步將這些技術取代以往的DDN、幀中繼以及郵電專線等。近年來，自建光纖已成為國家軍事、權力機關信息化建設采用的一種方式，雖然在建設投入成本上較高，但無論從通信安全性或通信速度上均可得到保障。同時，對于路由器、交換機的選擇，應注意選取其中安全防護能力較強的設備，包括360安全路由器等，相比普通路由器更具備較強的防護能力。

2.2安全技術措施應用

對于網絡系統軟件安全問題，要求在安全技術措施應用上加強。如選擇正版操作系統安裝，且安裝前做好相關檢測，避免操作系統中存在木馬病毒情況。再如可考慮進行內部網絡建設，保證內部網絡封閉，在內外網切換管理上加強，若涉及切換管理或網關建立，應由相關的負責人批準同意。此外，應在計算機上網功能上限制，如通過限制登錄IP，或將上網電腦與內部PC機進行隔離，降低安全隱患問題。

2.3病毒木馬預防策略

病毒木馬問題是威脅公安機關網絡安全的主要因素。在網絡安全管理中，應注意引入專業殺毒軟件，必要時做升級處理。同時注意在防火墻安全等級上不斷提升，對信息數據的接收與發送均需嚴格曬算。另外，應在郵件客戶端軟件使用方面控制，訪問郵箱中可通過網頁方式進行，降低木馬感染可能性。

3結論

網絡安全管理是公安機關信息化建設的關鍵所在。實際開展網絡安全管理活動中，應正確認識網絡安全管理面臨的問題，采取多方面有效的策略，如網絡系統安全性強化、安全技術措施的應用以及病毒木馬預防策略的引入等。這樣才能提高網絡安全管理水平，推動公安機關信息化建設。

參考文獻

[1]杜東澤,董玉峰.新時期公安機關網絡安全管理面臨的挑戰及策略研究[J].信息技術與信息化,2018(09):129-131.

篇(6)

[關鍵詞]醫院；信息系統；網絡安全；管理；醫療

doi：10.3969/j.issn.1673 - 0194.2016.14.099

[中圖分類號]TP393.08 [文獻標識碼]A [文章編號]1673-0194（2016）14-0-02

醫院信息系統（Hospital Information System，HIS）是指運用計算機技術、網絡技術等現代化技術，對醫院的人流、物流、財流等進行綜合性管理，以將醫院各項醫療行為所產生的數據加工成各種信息，進而為醫院的整體運作提供現代化管理的信息系統。醫院信息系統作為現代化醫院建設中不可或缺的組成部分，其應用有助于提升醫院的業務水平、提高醫療服務質量。但是隨著我國醫院信息系統的不斷推廣與應用，其安全隱患問題也逐漸暴露出來，這給醫院的信息安全帶來了極大的威脅。從信息安全管理層面入手，醫院信息系統存在網絡安全隱患的主要原因在于缺少行之有效的信息安全策略，使系統的網絡通信與數據備份等操作的安全性無法獲得根本的保障。

1 醫院信息系統網絡安全管理現存的問題

1.1 殺毒軟件、系統補丁更新不及時

當前，諸多醫院在應用醫院信息系統時，通常都會在業務主機中安裝殺毒軟件，但因為主機數量較大，維護難度也較大，導致計算機維護人員很難保證所有主機的殺毒軟件、系統補丁都是最新版本，使醫院信息系統的應用存在網絡安全管理問題。

1.2 IP、MAC地址綁定無現實意義

個別醫院為了避免外來者隨意連接院內網絡，通常都會選擇在接入層的交換機上將IP地址、MAC地址與端口綁定。但是此操作存在兩大安全隱患：第一，IP地址、MAC地址的綁定必須逐臺電腦進行設置操作，工作量非常大，也很不方便；第二，略懂計算機技術的人能輕松修改IP地址、MAC地址，進而使其綁定失去現實意義。

1.3 IDS入侵檢測系統作用失效

當前，大多數醫院在應用醫院信息系統時都安裝了IDS入侵檢測系統，但該系統只能在出現異常時發出預警提示，而無法實現其他功能，因此導致入侵檢測的功能難以見效。

1.4 數據庫安全審計系統難以定位到人

在應用信息系統時，大多數醫院為了有效避免數據被修改或盜取，通常會選擇對登錄者進行訪問權限設置，但此操作依然不能有效預防惡意者的不法行為。數據庫安全審計系統能夠詳細記錄數據庫的各項操作，并準確定位到IP地址，但卻難以與IP地址所在的人員一一綁定，因此導致無法將責任追究到個人。

2 醫院信息系統網絡安全管理的需求

2.1 身份驗證與訪問控制需求

按照角色級別與用戶類型以及對醫院信息操作的重要性，判斷是否進行身份驗證，另外應對不同的用戶采用不同的方式驗證。訪問控制管理必須有明確的條件約束，以確保用戶能夠在權限范圍內登錄醫院信息系統。

2.2 信息資產的安全管理需求

對醫院信息資產的安全管理應從硬件與軟件兩個層面來分析。在硬件上，應保證信息資產處于絕對安全的環境中，以保證信息資產的安全性；同時要保證醫院信息系統中各核心設備的合理冗余。在軟件上，應保證操作系統與應用軟件的安全性，保證入網用戶端設備外連接口啟動、后臺服務等運行的安全性。

2.3 網絡通信的安全管理需求

醫院信息系統要能對網絡數據流進行實時控制，同時能夠屏蔽危險網絡行為，自行檢測并處理安全事件，以及時對系統故障進行處理，進而避免網絡風險事故的發生，保證網絡通信操作行為的安全性。

3 醫院信息系統網絡安全管理的創新對策

3.1 物理安全管理對策

醫院信息系統的物流安全是指各種硬件信息資產的物理保護，以防遭到破壞，其保護對象包括中心機房、服務器、工作站與硬件接口設備等。中心機房是醫院信息系統的核心設備，對其進行網絡安全管理的過程中，①應按其設備需求，對室內溫度、濕度進行嚴格把控；②應啟動門禁制度，以控制人員流動；③應實施多路供電，以確保電源不中斷；④應采取避雷措施。服務器在醫院信息系統的運作中占據了舉足輕重的地位，服務器一旦發生故障，則會造成整個系統的癱瘓，因此必須確保服務器24小時正常運行，還應進行冗余設置，可采用多機容錯、多機熱備份方案，或采用雙服務器；同時要給服務器配置高質量的UPS電源，并進行冗余設置。工作站是醫院臨床醫師與護理人員的終端PC設備，可作為醫院信息系統的獨立模塊，對其進行網絡安全管理時，應確保其工作環境的安全性，同時對軟盤、光盤的使用進行明確規定，并用軟件對用戶的行為進行監控。硬件接口設備包括路由器、集線器等，管理時應制定嚴格的制度，做好傳輸電纜端口的記錄。

3.2 身份驗證管理對策

當前，大多數醫院所選用的醫院信息系統都是基于“B/S”結構與“用戶名+密碼”的方式驗證身份，這種方式較為單一，難以滿足醫院信息系統的升級需求。建議在“用戶名+密碼”身份驗證方式的基礎上，由醫院信息系統網管人員統一設置，靈活綁定用戶名相關信息，再統一下發至接入層交換機，以加強對用戶身份的驗證與管理。也可采取安裝網絡安全管理軟件的方式，評測主機的接入是否符合要求，不符合要求則拒絕登錄，以此確保用戶身份的合法性。

3.3 訪問控制管理對策

隨著醫院信息系統的不斷推廣與應用，過去基于角色的訪問控制方法與靜態授權方式已然不適用。角色訪問控制模型――TLRBAC是一種基于時間與空間環境制約因素的訪問控制模式，能夠滿足醫院信息系統的安全管理需求。角色訪問控制模型的工作原理是：用戶用特定角色身份登錄醫院信息系統，在其登錄前需受時間和空間屬性的訪問控制權限的限制，以此實現對用戶訪問行為的有效管理。角色訪問控制模型是訪問控制對策主要從用戶驗證、聯網訪問控制以及操作權限限定3方面來實現。

3.4 授權管理對策

在我國醫院信息系統不斷發展的過程中，醫院的信息化管理水平逐漸提升，傳統的集中式授權模式顯然已經不適用。為了確保醫院信息系統的正常運行，必須建立一種更合理的用戶授權管理體系?？梢圆捎梅植际绞跈喾绞交驅哟位跈喾绞剑植际绞跈喾绞侥軌驅崿F醫院信息系統管理者的多方式分配，確保醫院信息系統登錄者身份的合法性；層次化授權方式是由各部分進行分層授權，要求醫院建設最高授權管理部門，實現信息資產的自動識別，并制定最高的權限管理策略。

4 結 語

在醫院信息系統的安全保護上，當前并無完全單一且有絕對安全保障的管理對策，因此，必須在合理的立體化安全機制下運用各種對策給予預防，且應不斷對其功能進行完善，提高安全防治意識，以確保醫院各項操作的安全性。

主要參考文獻

[1]張桂華，羅平，郭劍峰.醫院信息系統的網絡安全管理思路[J].中國醫藥科學，2011（12）.

[2]陳卓明.醫院信息系統的網絡安全管理探究[J].通訊世界，2016（5）.

篇(7)

職業院校的信息安全問題對于職業院校的重要程度不言而喻，而信息化程度越高，一旦發生安全事件，職業院校可能遭受的損失也就越大。隨著職業院校信息化技術的發展，職業院校信息化的規模正變得越來越大，業務信息系統的集中度也越來越高，特別在云計算技術被應用之后，計算資源被高度的整合和集中，混合著物理設備和虛擬機的職業院校信息化系統的網絡安全管理的復雜程度不斷提高，這使得傳統的網絡安全管理方法很難理清信息系統之間的關系，難以發現并避免可能存在的安全問題，也難以尋找到有效的網絡安全設備部署位置。隨著大數據技術的興起，職業院校信息化在計算資源被集中整合后，又開始了對數據信息的集中整合，這更加劇了職業院校信息化系統安全管理的重要性，提高了對網絡數據傳輸合法、合規性的安全審核要求。軟件定義網絡技術是一種以軟件定義的方式來管理網絡中節點間通信轉發技術的統稱，將該技術引入職業院校信息化網絡環境中，能夠有效地讓原本復雜且難以管控的網絡通信環境變得清晰可控，從而為網絡的安全管理提供有力的技術支撐。本文針對職業院校信息化在新型網絡環境中的網絡安全管理問題，提出了一種從網絡控制層面結合職業院校業務模型的有效的網絡安全管理解決方案。

二、相關工作

云計算是被認為是繼微型計算機、互聯網后的第三次IT革命，它不僅是互聯網技術發展、優化和組合的結果，也為整個社會信息化帶來了全新的服務模式。云計算的定義在業界并未達成共識，不同機構賦予云計算不同的定義和內涵。其中，美國國家標準與技術研究院對云計算的定義是被接受和引用最廣泛的。NIST認為，云計算是一個模型，這個模型可以方便地按需訪問一個可配置的計算資源（如網絡、服務器、存儲設備、應用程序以及服務）的公共集。這些資源可以在實現管理成本或服務提供商干預最小化的同時被快速提供和。云模型包括了5個基本特征、3個云服務模式、4個云部署模型。從技術的角度來看，云計算不僅僅是一種新的概念，并行計算和虛擬化也是實現云計算應用的主要技術手段。由于硬件技術的快速發展，使得一臺普通的物理服務器所具有的性能遠遠超過普通的單一用戶對硬件性能的需求。因此，在職業院校信息化系統的構建中，通過虛擬化的手段，將一臺物理服務器虛擬為多臺虛擬機，提供虛擬化服務成了構建職業院校私有云的技術基礎。軟件定義網絡是一種新興的控制與轉發分離并直接可編程的網絡架構。傳統網絡設備耦合的網絡架構被分拆成應用、控制、轉發三層分離的架構?？刂乒δ鼙晦D移到服務器之上，上層應用、底層轉發設施被抽象成多個邏輯實體。該研究來源于斯坦福大學的一個名為CleanSlate的項目，其目的是為了在不受現有互聯網技術架構的影響下，重新設計新的網絡底層實現方案。本文針對新型網絡環境下職業院校信息化過程實際存在的問題，結合基于SDN的安全防護技術，提出一種結合職業院校網絡業務信息流的邏輯關系的網絡安全管理方案，并設計出一種基于可信業務訪問關系表的網絡安全管理系統，使得網絡安全管理能夠深度結合職業院校的真實業務邏輯，并實現高靈活、細粒度和高性能的網絡安全管理。

三、新型網絡環境下職業院校信息化面臨的安全挑戰

所謂新型網絡環境，主要指使用了虛擬化技術來構建職業院校信息化系統的網絡環境，這里既包括職業院校私有云的形態也包括僅適用服務器虛擬化技術的職業院校網絡環境。在這樣的網絡環境中，通常用戶的業務系統不僅僅存在于虛擬化環境中，由于信息化系統向虛擬化平臺遷移并不能瞬間完成，因此在真實的應用場景中，往往會存在混合虛擬化環境和傳統物理網絡環境的情況。在這樣復雜的網絡環境下，存在以下幾個方面的安全挑戰：

（一）業務系統間信息流監測和梳理困難的問題

梳理清楚業務系統間的通信關系，并對業務系統間信息流提供實時的監測功能，對職業院校信息化環境實施安全防護方案有著重要作用，是讓安全方案能夠真正理解業務安全需求的重要步驟之一。但由于職業院校信息化不斷向著計算系統的高度集中化發展，大量的業務主機集中管理在一個大型的網絡環境中，如私有云的環境，使得跟蹤和監測系統間的信息流變得非常困難：難以找到合適的監測點，并且由于虛擬機和物理主機的數量龐大，難以把分散在各處的監測數據整合起來。

（二）業務系統邏輯網絡邊界難以界定和隔離的問題

業務系統在使用虛擬機作為服務器后，傳統的物理網絡邊界就失去了意義，虛擬機可以在虛擬化環境中進行漂移。雖然在邏輯上，一個業務系統仍然是由原先那幾臺服務器構成，但這幾臺服務器在物理拓撲位置上卻并不一定在一起，甚至不固定，可能隨著虛擬化環境資源的調配而發生變化，這樣就使得以邊界防護和隔離為管理目標的傳統網絡安全管理失去了存在的意義，同時也難以對一個業務系統的邊界實施有效的安全隔離。

（三）安全設備監測負載過大、噪音數據過多的問題

在傳統網絡環境中，監控網絡流量需要依靠在交換機上對數據包的捕獲，再通過安全設備進行檢測分析。而在虛擬化環境中，由于無法找到明確的網絡邊界，因此若想保證不存在安全監控的盲區，往往需要在所有物理交換機或虛擬交換機上進行抓包，以保證所有可能與被監控業務系統的通信流量都能夠被捕獲，這樣就會在捕獲到真正屬于被監控業務系統的通信流量的同時，也抓取到大量的不屬于被監控系統和主機的干擾數據，從而容易造成用于進行安全檢測和防御的安全設備接收到過量的負載而導致處理能力和響應速度受到影響，同時大量的噪音數據也會影響安全檢測的準確性，易產生大量的誤報警。

四、基于軟件定義網絡技術的網絡安全管理系統

針對上述問題，本文給出了一種基于軟件定義網絡技術構建的、可與新型職業院校信息化環境緊密結合的網絡安全管理系統。采用集中式的管理，基于全景式的系統拓撲和業務關聯的相關知識，能夠有效地對復雜職業院校信息系統網絡環境進行細粒度的信息流梳理和安全管理。為了獲得全景式的系統拓撲，并能夠提高細粒度的網絡流安全管控能力，需要將軟件定義網絡的基礎架構引入到職業院校的信息化網絡環境中，即需要讓整個網絡環境中的軟件交換機和硬件交換機都開啟對Openflow協議的支持。安全管理系統通過調用SDN網絡控制器的北向接口來獲得整個網絡的拓撲知識，并根據需求操控業務系統間的信息流的轉發。在混合了虛擬化（云計算）網絡環境和傳統物理網絡環境的企業信息化網絡環境中，傳統的物理交換機和虛擬交換機都需要開啟Openflow協議的支持。傳統物理網絡仍然以物理局域網的邊界為安全檢測和防護的邊界，并且可以支持以虛擬局域網的方式在虛擬化環境中使用虛擬機以擴展傳統物理局域網的規模。為了能夠提供基于業務的安全管理，我們提出采用業務流可信表的方式來關聯業務模型與底層的網絡流安全管控。系統通過提供管配接口，讓安全管理員能夠對其職業院校內部的系統進行邏輯邊界的建模，形成以邏輯安全邊界為管理對象的安全管理模型。業務流可信表則允許用戶以軟件定義的方式定義業務系統間的可信互訪關系，包括業務系統內部主機間的相互訪問是否可信，不同業務系統間的相互訪問是否可信等規則?；ピL關系的定義將作為SDN控制器流表的生成規則，當互訪關系為可信時，認為是無須監測的業務流，Openflow的流表項上將直接轉發至目的節點，不在業務流可信表中的網絡流量需要根據對安全設備的配置轉發到相應的安全設備接入端口。在整個業務流的安全管理流程中，安全防護和檢測的工作由專業的安全設備完成，這些安全設備被接入到職業院校的網絡環境中，由安全管理系統統一管理。當用戶創建業務系統模型后，即可為該業務系統指定邊界安全防護和檢測設備，這樣就形成了一套完整的、基于業務系統邏輯邊界的細粒度安全防護和檢測流程。系統在啟動后，通過虛擬化管控和SDN管控獲得整個網絡的拓撲信息，以可視化的方式將這些拓撲信息展現出來，并讓用戶在此基礎上進行業務系統邏輯邊界的建模，即指定哪些虛擬機屬于一個業務系統?；谝褎摵玫臉I務系統邏輯邊界可在業務流可信表中指定相互間的可信互訪關系以及一個業務系統內的主機間的互訪是否可信。通過業務流可信關系轉換模塊將定義好的表項翻譯為Openflow的轉發規則，并通過SDN管控下發到相應的SDN交換機上。通過業務流可信表對業務邏輯和網絡流管控的關聯，網絡安全管理系統能夠對每個通過交換機的網絡流進行監控與審計，對于符合業務流可信表定義的網絡流直接進行轉發，以減小安全設備的負載壓力；對于不符合業務流可信表定義的網絡流通過SDN的流表轉發功能，將其轉發至接入的物理安全設備上進行分析和檢測，如對于數據庫服務器和web服務器之間的連接關系認為是可信的，則他們之間的網絡流將被直接轉發，而外部主機直接對數據庫服務器的訪問將被認為不可信而需要被重定向至安全設備進行檢測。同時系統也通過對業務流關系的跟蹤分析提供基于業務流的安全審計預警能力，從而進一步加強整個系統的安全管理功能。

五、結論